我在debian 7.3上configurationvsfptd,我试图使用ssl。 我使用这个命令生成certficates: openssl req -x509 -nodes -days 1925 -newkey rsa:2048 -keyout /etc/vsftpd/private/vsftpd2.key -out /etc/vsftpd/certificado/vsfptd3.pem 而我的vsftpd.conf是这样的: listen=YES anonymous_enable=YES local_enable=YES write_enable=YES #anon_upload_enable=YES anon_mkdir_write_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=NO #chown_uploads=YES #chown_username=whoever # chroot_local_user=YES chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=ftp-ssl rsa_cert_file=/etc/vsftpd/certificado/vsftpd.pem rsa_private_key_file=/etc/vsftpd/private/vsftpd2.key anon_root=/srv/ftp/anonimo chown_upload_mode=757 anon_upload_enable=YES ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=YES force_local_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO listen_port=990 ssl_ciphers=HIGH require_ssl_reuse=NO 但每次我尝试启动vsftpd我得到这个错误消息: 500 OOPS:SSL:无法加载RSA私钥 我已经检查了权限configuration良好,我不知道如何解决这个问题。 请帮忙吗?
我需要将一个SSL站点redirect到另一个SSL站点。 例如,我控制https://sitea.michael.com,但我希望那里的stream量被转发到https://siteb.notinmycontrol.com 我不控制notinmycontrol.com上的DNS,无论如何他们没有办法在他们的服务器上安装michael.com证书。 如果我正在运行Apache服务器,则通过mod_proxy和mod_ssl工作 <VirtualHost *:80> ServerName sitea.michael.com ServerAdmin webmaster@localhost SSLProxyEngine on ProxyPass / https://siteb.notinmycontrol.com/ ProxyPassReverse / https://siteb.notinmycontrol.com/ ErrorLog /var/log/apache2/error.log LogLevel warn CustomLog /var/log/apache2/access.log combined ServerSignature On </VirtualHost> 如果我正在运行IIS服务器,是否有相当的方法来做到这一点?
我的老板想为他的SBS购买证书,这样就可以build立外部联系。 他们访问一个IP号码。 他应该在证书上花费多less钱? 他应该从哪里买? Verisign似乎不是一个电子商务网站,只是需要一些安全。 我见过一些价格便宜的$ 20 /年 – 有没有问题获得便宜的证书?
我一直在尝试设置一个SSL证书几天,我从Namecheap.com购买它,我正在购买一个快速SSL通配符证书,我正在做以下几点: 生成一个csr – openssl req -newkey rsa:2048 -nodes -keyout server.key -out server.csr 然后,我等待收到一封电子邮件,下载.crt文件 获取中间证书并将其保存到intermediatecert.crt 然后我cat intermediatecert.crt >> sslcertificate.crt 然后我将下面几行添加到我的nginx虚拟主机文件中 ssl_certificate /etc/ssl/sslcertificate.crt; ssl_certificate_key /etc/ssl/server.key; 然后,我重新启动我的服务器,并得到以下错误 [emerg]: SSL_CTX_use_PrivateKey_file("/etc/ssl/server.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch) 有没有人有任何想法? 固定 我解决了这个问题,不通过namecheap重新发布,直接快速重新发布并上传我的csr。
我正在尝试将https添加到我正在使用的embedded式设备上。 这些设备通常分配本地IP地址,因此无法获得自己的SSL证书。 所以基本上我的问题是如何得到一个没有全局IP地址的设备证书? 假设: 浏览器不会信任证书,除非它们已经通过了可信CA的validation。 但是,您只能获得全球唯一域的经过validation的证书。 那些客户坚持使用本地IP地址。 类似的问题在这里 假设A: 获得主要公司网站的证书 复制该证书。 +所有设备的私钥 用户连接到设备 设备发送证书。 给用户 用户看到证书。 是可信的(忽略它不是这个服务器??) 用户使用cert中的公钥encryptionhttp 设备使用私钥 结果: 浏览器抱怨名称不匹配 客户可以访问彼此的私钥 不是很安全 假设B: 为每个设备获取主公司网站的证书 复制证书。 +每个设备的私钥 用户连接到设备 设备发送证书。 给用户 用户看到证书。 是可信的(忽略它不是这个服务器??) 用户使用cert中的公钥encryptionhttp 设备使用私钥 结果: 浏览器抱怨名称不匹配 安全 假设C: 为每个设备创build自签名的证书 复制证书。 +设备的私钥 用户连接到设备 设备发送证书。 给用户 Firefox有一个金丝雀 用户使用cert中的公钥encryptionhttp 设备使用私钥 结果: 浏览器抱怨自签名证书 自签证书可能是中间人攻击
我们正在为已经拥有SSL证书的客户开发一个站点,并且已经有一个使用它的网站和域名。 我们将在运行Apache的服务器上托pipe新站点,该站点上的其他站点使用相同的IP。 该网站的域名将其Alogging更改为我们的服务器。 现有的证书是由Comodo授予的。 另一个可能很重要的事实是,他们现有的网站托pipe的公司将不会回到我们的证书方面。 我已要求他们给我一个“SSL证书和私钥的导出副本”,但已被忽略。 问Comodo和我们的其他网站托pipe的公司,我真的很困惑! 我从来没有真正处理过SSL。 所以我的问题是: 将此证书转移到当前托pipe服务提供商的唯一途径吗? 如果他们没有回应,我的下一步是什么? 一个域名可以有两个证书(如果我们购买一个新的)? 我道歉,如果我使用不正确的术语,但提前感谢!
我正在使用由我们的内部CA生成的签名的SSL证书。 我已经添加了主题替代名称,以便myserver.example.net和myserver都对该站点有效。 这在Firefox和IE中都能正常工作,但在Chrome用户使用短名称myserver时仍然会收到警告消息。 我的问题是,是否有任何方式让用户使用myserver而没有在Chrome中获得SSL警告?
最近,我的PCI评估员告诉我,我的服务器容易受到BEAST的影响,使我失败了。 我做了功课,我想改变我们的networking服务器,selectCBC的RC4密码。 我跟着我find的每一个指南 我改变了我的弱密钥128比特encryption到Enabled = 0.完全删除了较弱的encryption注册密钥。 我下载了IISCrypto并取消了除RC4 128密码和三重DES 168之外的所有内容。 我的networking服务器仍然偏爱AES-256SHA。 在IIS 6.0中有一个技巧,让你的networking服务器更喜欢RC4密码,我不明白? 看起来像在IIS 7中,他们很容易修复,但现在没有帮助我!
目前,我正在进行Google Apps for business 30天免费试用(付款已设置,因此即将开始免费试用)。 我试图为Google App Engine应用的自定义域名设置SSL,但是对于这些内容我有一点点小意,我收集的文件不被应用提交表单接受。 我经历了以下过程: openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key 填写完毕后, 请求信息(名称为www.mydomain.com),我有两个文件CSR.csr和privateKey.key。 我用一个SSL提供商CheapSSLs.com为我提供了一个关于这个CSR.csr的证书,并且他们已经用一个证书www_mydomain_com.crt 。 但是,在通过Google Apps信息中心 – >安全性 – >自定义域的SSL并上传www_mydomain_com.crt和privateKey.key我收到错误消息: 私钥和SSL证书都应该是未encryption的PEM格式。 任何帮助? 据我所知,他们是这样的格式:私人密钥看起来像: —–BEGIN PRIVATE KEY—– MIIEv… … …CftTU= —–END PRIVATE KEY—– 和.crt文件如下所示: —–BEGIN CERTIFICATE—– MIIFy… … …WJjk= —–END CERTIFICATE—–
我们拥有自己的CA,多年来我们已经使用它来创build数百个服务器证书和数千个客户端证书。 CA证书本身是1024bit,签名证书是1024bit 由于与我们使用的外部证书有一些关系,赛门铁克一直在向我们发送有关这种“现在更改为2048bit证书”的电子邮件,现在让我担心了。 十月会发生什么? 操作系统供应商是否会推出软件更新,使其无法与1024位证书进行交互? 如果是这样,我们有一个严重的问题,因为我们将不得不尽快replace成千上万的证书 更换新的2048bit客户端证书和CA证书本身将是一个手动的噩梦。 原来,这必须手动完成除Windows之外的所有平台(谢谢微软的GPO!),这个变化也需要我们也取代CA,或者将有现有的1024位CA证书签名2048位客户端/服务器证书是足够的“解决”这个问题